DFN-CERT-2016-0903 MariaDB: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Daten [Linux][Debian]

DFN-CERT-2016-0903 MariaDB: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Daten [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

MariaDB <= 10.0.24 Betroffene Plattformen: Debian Linux 8.4 Jessie Mehrere Schwachstellen in MariaDB 10 ermöglichen einem entfernten, i.d.R. einfach authentifizierten Angreifer das Durchführen verschiedener Denial-of-Service (DoS)-Angriffe. Zwei weitere Schwachstellen ermöglicht einem solchen Angreifer das Manipulieren von Daten und das Ausspähen von Informationen. Der Hersteller hat die stabilen MariaDB Releases 10.0.24 und 10.0.25 als Sicherheitsupdates zur Verfügung gestellt, welche einige Fixes aus Oracle MySQL Version 5.6.29 und 5.6.30 beinhalten. Debian stellt für die Debian-Linux Distribution Jessie (stable) ein Sicherheitsupdate zur Verfügung. Patch: Debian Security Advisory DSA-3595-1 https://www.debian.org/security/2016/dsa-3595

Patch:

MariaDB 10.0.24 Release Notes

https://mariadb.com/kb/en/mariadb/mariadb-10024-release-notes/

Patch:

MariaDB 10.0.25 Release Notes

https://mariadb.com/kb/en/mariadb/mariadb-10025-release-notes/

CVE-2016-0668: Schwachstelle in Oracle MySQL Server / Maria DB ermöglicht
Denial-of-Service-Angriffe

In der InnoDB Komponente des Oracle MySQL Server und MariaDB befindet sich
eine nicht näher beschriebene Schwachstelle. Ein entfernter, am MySQL Server
angemeldeter Angreifer kann die Schwachstelle dazu ausnutzen, den Server zum
Absturz zu bringen (Denial-of-Service).

CVE-2016-0666: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente Privileges des MySQL Server von Oracle MySQL und MariaDB
enthält eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle,
die über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0655: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente InnoDB des MySQL Server von Oracle MySQL und MariaDB
enthält eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle,
die über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0650: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente Replication des MySQL Server von Oracle MySQL und MariaDB
enthält eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle,
die über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0649: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente PS des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle, die
über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0648: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente PS des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle, die
über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0647: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente FTS des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle, die
über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0646: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente DML des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle, die
über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0644: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente DDL des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle, die
über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen.

CVE-2016-0643: Schwachstelle in Oracle MySQL / Maria DB ermöglicht Ausspähen
von Informationen

Die Subkomponente DML des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, einfach auszunutzende Schwachstelle, die
über das MySQL Protokoll Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um unerlaubt Lesezugriff auf eine Teilmenge der dem MySQL Server
zugänglichen Daten zu erlangen.

CVE-2016-0641: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Denial-of-Service-Angriffe

Die Subkomponente MyISAM des MySQL Server von Oracle MySQL und MariaDB
enthält eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle,
die über mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein
entfernter, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um ein Hängen des MySQL Server auszulösen oder diesen
wiederholbar zum Absturz zu bringen. Des Weiteren kann der Angreifer auch
unerlaubt Lesezugriff auf eine Teilmenge der dem MySQL Server zugänglichen
Daten erlangen.

CVE-2016-0640: Schwachstelle in Oracle MySQL / Maria DB ermöglicht
Manipulation von Dateien

Die Subkomponente DML des MySQL Server von Oracle MySQL und MariaDB enthält
eine nicht näher spezifizierte, schwer auszunutzende Schwachstelle, die über
mehrere Protokolle Angriffe aus dem Netzwerk ermöglicht. Ein entfernter,
einfach authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
ein Hängen des MySQL Server auszulösen oder diesen wiederholbar zum Absturz
zu bringen. Des Weiteren kann der Angreifer auch unerlaubt einige dem MySQL
Server zugängliche Daten löschen, ändern oder neue Daten einfügen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0903/

Schwachstelle CVE-2016-0640 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0640

Schwachstelle CVE-2016-0641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0641

Schwachstelle CVE-2016-0643 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0643

Schwachstelle CVE-2016-0644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0644

Schwachstelle CVE-2016-0646 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0646

Schwachstelle CVE-2016-0647 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0647

Schwachstelle CVE-2016-0648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0648

Schwachstelle CVE-2016-0649 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0649

Schwachstelle CVE-2016-0650 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0650

Schwachstelle CVE-2016-0655 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0655

Schwachstelle CVE-2016-0666 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0666

Schwachstelle CVE-2016-0668 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0668

Debian Security Advisory DSA-3595-1:
https://www.debian.org/security/2016/dsa-3595

MariaDB 10.0.24 Release Notes:
https://mariadb.com/kb/en/mariadb/mariadb-10024-release-notes/

MariaDB 10.0.25 Release Notes:
https://mariadb.com/kb/en/mariadb/mariadb-10025-release-notes/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben